OSSEC冗余集成

Question

我希望所有的OSSEC通知路由到一个松弛的房间，而不是电子邮件。2.9 Beta5有一个ossec-slack.sh主动响应脚本。我的ossec.conf的相关部分是：

<command>
  <name>ossec-slack</name>
  <executable>ossec-slack.sh</executable>
  <expect>srcip</expect>
  <timeout_allowed>no</timeout_allowed>
</command>


<active-response>
  <command>ossec-slack</command>
  <location>local</location>
  <level>1</level>
</active-response>

这适用于SSH登录(失败和成功)，但据我所知不会触发任何其他操作。我做错了什么/别人是怎么做的？这仅仅是测试版软件吗？

Answer 1

首先，确保您的ossec-slack.sh文件的顶部包含正确的信息：

# FILE: /var/ossec/active-response/bin/ossec-slack.sh

SLACKUSER="ossec"
CHANNEL="#slack_chanel"  # include the hash "#"
SITE="https://hooks.slack.com/services/TOKEN"
SOURCE="ossec2slack"

您的"SLACKUSER"与您在Slack WebHook集成页面中设置的"Customize Name“字段相同。

​

​

现在已经设置了ossec-slack.sh文件，您可以手动测试您的Slack集成：

/var/ossec/active-response/bin/ossec-slack.sh

手动运行该脚本将发布警报日志文件中的最新条目：

/var/ossec/logs/alerts/alerts.log

当此脚本作为主动响应触发时，它将只发布当前警报的信息，而不会发布日志文件中的信息。

验证可以手动发布松弛消息后，将以下XML块添加到ossec.conf文件：

<!-- FILE: /var/ossec/etc/ossec.conf -->

<ossec_config>
    <command>
        <name>ossec-slack</name>
        <executable>ossec-slack.sh</executable>
        <expect></expect> <!-- no expect args required -->
        <timeout_allowed>no</timeout_allowed>
    </command>

    <active-response>
        <command>ossec-slack</command>
        <location>local</location>
        <level>3</level>
    </active-response>
</ossec_config>

当触发3级或更高级别的警报时，上述设置将发布到您的松弛频道。

注意： <expect>标记内不需要任何参数。但是<expect>标记本身是必需的。有关更多信息，请参阅OSSEC的active-response documentation。

要测试此集成，请重新启动您的ossec服务器：

/var/ossec/bin/ossec-control restart

您应该很快就会看到"OSSEC Started"警报：

​

​

如果没有看到警报，请检查日志中是否有配置错误：

tail /var/ossec/etc/logs/ossec.log
tail /var/ossec/logs/active-responses.log

Answer 2

不是一个完整的答案，但在这里补充。为确保此功能正常工作，请确保在/var/ossec/etc/ossec.conf中未设置此设置。如果它在那里，就删除它。

<active-response>
  <disabled>yes</disabled>
</active-response>